- ข้อความ
- ประวัติศาสตร์
7.5 Apache HttpClientThe most widel
7.5 Apache HttpClient
The most widely used version of Apache HttpClient is 3.1, released in 2007. This library, as well as its earlier versions, sets
up SSL connections using JSSE’s SSLSocketFactory without performing its own hostname verification (see Sections 4.1 and 4.2).
As a consequence, Apache HttpClient 3.* accepts any certificate
with a valid chain of trust, regardless of the name. As mentioned in
Section 4.2, the same bug occurs in Weberknecht.
The hostname verification bug in HttpClient was fixed in version
4.0-alpha1 [1]. The current version, 4.2.1, has its own hostname
verifier and delegates chain-of-trust verification to JSSE. Unfortunately, as we show in Section 8, the existence of a correct implementation of HttpClient has had little effect on the security of applications that rely on HttpClient for SSL connection establishment.
Apache HttpClient 4.* involved a major architectural re-design,
thus much of legacy and even new software still relies on version
3.*. The use of HttpClient is often hidden inside Web-services middleware such as Axis 2 and XFire, which—several years after version 4.* became available—still ship with HttpClient 3.* and thus
skip hostname verification for SSL certificates.
It is worth noting that the custom hostname verification code
added to HttpClient 4.* is incorrect and will reject valid certificates.
The following code is from HttpClient 4.2.1:
This code computes the length of the prefix by subtracting 2
from the number of parts (determined by the number of dots in the
name). This logic is incorrect: validity of the first part of a domain
name should have nothing to do with the total number of parts.
Forexample, it will reject mail...com if the name in the
certificate is m*...com.
Furthermore, the original patch, as well as its derivatives, has
a minor bug in the regular expression for parsing IPv4 addresses,
causing it to accept IP addresses starting with zero (this does not
immediately result in a security vulnerability):
The most widely used version of Apache HttpClient is 3.1, released in 2007. This library, as well as its earlier versions, sets
up SSL connections using JSSE’s SSLSocketFactory without performing its own hostname verification (see Sections 4.1 and 4.2).
As a consequence, Apache HttpClient 3.* accepts any certificate
with a valid chain of trust, regardless of the name. As mentioned in
Section 4.2, the same bug occurs in Weberknecht.
The hostname verification bug in HttpClient was fixed in version
4.0-alpha1 [1]. The current version, 4.2.1, has its own hostname
verifier and delegates chain-of-trust verification to JSSE. Unfortunately, as we show in Section 8, the existence of a correct implementation of HttpClient has had little effect on the security of applications that rely on HttpClient for SSL connection establishment.
Apache HttpClient 4.* involved a major architectural re-design,
thus much of legacy and even new software still relies on version
3.*. The use of HttpClient is often hidden inside Web-services middleware such as Axis 2 and XFire, which—several years after version 4.* became available—still ship with HttpClient 3.* and thus
skip hostname verification for SSL certificates.
It is worth noting that the custom hostname verification code
added to HttpClient 4.* is incorrect and will reject valid certificates.
The following code is from HttpClient 4.2.1:
This code computes the length of the prefix by subtracting 2
from the number of parts (determined by the number of dots in the
name). This logic is incorrect: validity of the first part of a domain
name should have nothing to do with the total number of parts.
Forexample, it will reject mail...com if the name in the
certificate is m*...com.
Furthermore, the original patch, as well as its derivatives, has
a minor bug in the regular expression for parsing IPv4 addresses,
causing it to accept IP addresses starting with zero (this does not
immediately result in a security vulnerability):
0/5000
7.5 Apache HttpClient
The most widely used version of Apache HttpClient is 3.1, released in 2007. This library, as well as its earlier versions, sets
up SSL connections using JSSE’s SSLSocketFactory without performing its own hostname verification (see Sections 4.1 and 4.2).
As a consequence, Apache HttpClient 3.* accepts any certificate
with a valid chain of trust, regardless of the name. As mentioned in
Section 4.2, the same bug occurs in Weberknecht.
The hostname verification bug in HttpClient was fixed in version
4.0-alpha1 [1]. The current version, 4.2.1, has its own hostname
verifier and delegates chain-of-trust verification to JSSE. Unfortunately, as we show in Section 8, the existence of a correct implementation of HttpClient has had little effect on the security of applications that rely on HttpClient for SSL connection establishment.
Apache HttpClient 4.* involved a major architectural re-design,
thus much of legacy and even new software still relies on version
3.*. The use of HttpClient is often hidden inside Web-services middleware such as Axis 2 and XFire, which—several years after version 4.* became available—still ship with HttpClient 3.* and thus
skip hostname verification for SSL certificates.
It is worth noting that the custom hostname verification code
added to HttpClient 4.* is incorrect and will reject valid certificates.
The following code is from HttpClient 4.2.1:
This code computes the length of the prefix by subtracting 2
from the number of parts (determined by the number of dots in the
name). This logic is incorrect: validity of the first part of a domain
name should have nothing to do with the total number of parts.
Forexample, it will reject mail...com if the name in the
certificate is m*...com.
Furthermore, the original patch, as well as its derivatives, has
a minor bug in the regular expression for parsing IPv4 addresses,
causing it to accept IP addresses starting with zero (this does not
immediately result in a security vulnerability):
The most widely used version of Apache HttpClient is 3.1, released in 2007. This library, as well as its earlier versions, sets
up SSL connections using JSSE’s SSLSocketFactory without performing its own hostname verification (see Sections 4.1 and 4.2).
As a consequence, Apache HttpClient 3.* accepts any certificate
with a valid chain of trust, regardless of the name. As mentioned in
Section 4.2, the same bug occurs in Weberknecht.
The hostname verification bug in HttpClient was fixed in version
4.0-alpha1 [1]. The current version, 4.2.1, has its own hostname
verifier and delegates chain-of-trust verification to JSSE. Unfortunately, as we show in Section 8, the existence of a correct implementation of HttpClient has had little effect on the security of applications that rely on HttpClient for SSL connection establishment.
Apache HttpClient 4.* involved a major architectural re-design,
thus much of legacy and even new software still relies on version
3.*. The use of HttpClient is often hidden inside Web-services middleware such as Axis 2 and XFire, which—several years after version 4.* became available—still ship with HttpClient 3.* and thus
skip hostname verification for SSL certificates.
It is worth noting that the custom hostname verification code
added to HttpClient 4.* is incorrect and will reject valid certificates.
The following code is from HttpClient 4.2.1:
This code computes the length of the prefix by subtracting 2
from the number of parts (determined by the number of dots in the
name). This logic is incorrect: validity of the first part of a domain
name should have nothing to do with the total number of parts.
Forexample, it will reject mail...com if the name in the
certificate is m*...com.
Furthermore, the original patch, as well as its derivatives, has
a minor bug in the regular expression for parsing IPv4 addresses,
causing it to accept IP addresses starting with zero (this does not
immediately result in a security vulnerability):
การแปล กรุณารอสักครู่..
7.5 Apache HttpClient
ใช้กันอย่างแพร่หลายรุ่นของ Apache HttpClient คือ 3.1 ได้รับการปล่อยตัวในปี 2007 ห้องสมุดนี้เช่นเดียวกับรุ่นก่อนหน้านี้ที่ตั้ง
ค่าการเชื่อมต่อ SSL โดยใช้ SSLSocketFactory JSSE โดยไม่ต้องดำเนินการโฮสต์ของตัวเองไอออนบวก Fi Veri (ดูมาตรา 4.1 และ 4.2).
ในฐานะที่เป็น ผล Apache HttpClient 3. * ยอมรับ Cate Fi รับรองใด ๆ
ด้วยโซ่ที่ถูกต้องของความไว้วางใจโดยไม่คำนึงถึงชื่อ ตามที่ระบุไว้ใน
มาตรา 4.2, ข้อผิดพลาดเดียวกันเกิดขึ้นใน Weberknecht.
ชื่อโฮสต์ Veri Fi ข้อผิดพลาดไอออนบวกใน HttpClient ถูกไฟถาวรในรุ่น
4.0 alpha1 [1] รุ่นปัจจุบัน 4.2.1 มีชื่อโฮสต์ของตัวเอง
เอ้อ Fi Veri และผู้แทนห่วงโซ่ของความไว้วางใจไอออนบวก Fi Veri เพื่อ JSSE แต่น่าเสียดายที่เราแสดงให้เห็นในมาตรา 8 การดำรงอยู่ของการดำเนินการที่ถูกต้องของ HttpClient มีผลกระทบต่อการรักษาความปลอดภัยของการใช้งานที่ต้องพึ่งพา HttpClient สำหรับสถานประกอบการเชื่อมต่อ SSL.
Apache HttpClient 4. * ที่เกี่ยวข้องกับสถาปัตยกรรมที่สำคัญการออกแบบใหม่
จึงมาก ของมรดกและแม้แต่ซอฟต์แวร์ใหม่ยังคงอาศัยอยู่กับรุ่น
ที่ 3 * ใช้ HttpClient ถูกซ่อนอยู่มักจะภายในมิดเดิลแวร์บริการเว็บเช่นแกนที่ 2 และ XFire ซึ่งหลายปีหลังจากรุ่น 4. * กลายเป็นใช้ได้ยังคงจัดส่งด้วย HttpClient 3. * จึง
ข้ามโฮสต์ไอออนบวก Fi Veri สำหรับ SSL ใบรับรองสายเคทส์.
เป็นมูลค่า สังเกตว่าชื่อโฮสต์ที่กำหนดเอง Veri รหัสไอออนบวก Fi
เพิ่มไปยัง HttpClient 4. * ไม่ถูกต้องและจะปฏิเสธ Cates Fi ใบรับรองที่ถูกต้อง.
รหัสต่อไปนี้มาจาก HttpClient 4.2.1: รหัสนี้คำนวณความยาวของสายก่อน x โดยการลบ 2 จากจำนวนของชิ้นส่วน (กำหนดโดย จำนวนจุดในชื่อ) ตรรกะนี้ไม่ถูกต้อง: ความถูกต้องของส่วนแรก Fi ของโดเมน. ชื่อควรจะมีอะไรจะทำอย่างไรกับจำนวนของชิ้นส่วนForexample ก็จะปฏิเสธล์. . .com ถ้าชื่อในCate Fi ใบรับรองเป็นม. *. . .com นอกจากนี้แพทช์เดิมเช่นเดียวกับการซื้อขายสัญญาซื้อขายล่วงหน้าที่มีข้อผิดพลาดเล็ก ๆ น้อย ๆ ในการแสดงออกปกติสำหรับการแยกอยู่ IPv4, ก่อให้เกิดการยอมรับที่อยู่ IP เริ่มต้นด้วยศูนย์ (นี้ไม่ได้มีผลในทันทีเสี่ยงด้านความปลอดภัย):
ใช้กันอย่างแพร่หลายรุ่นของ Apache HttpClient คือ 3.1 ได้รับการปล่อยตัวในปี 2007 ห้องสมุดนี้เช่นเดียวกับรุ่นก่อนหน้านี้ที่ตั้ง
ค่าการเชื่อมต่อ SSL โดยใช้ SSLSocketFactory JSSE โดยไม่ต้องดำเนินการโฮสต์ของตัวเองไอออนบวก Fi Veri (ดูมาตรา 4.1 และ 4.2).
ในฐานะที่เป็น ผล Apache HttpClient 3. * ยอมรับ Cate Fi รับรองใด ๆ
ด้วยโซ่ที่ถูกต้องของความไว้วางใจโดยไม่คำนึงถึงชื่อ ตามที่ระบุไว้ใน
มาตรา 4.2, ข้อผิดพลาดเดียวกันเกิดขึ้นใน Weberknecht.
ชื่อโฮสต์ Veri Fi ข้อผิดพลาดไอออนบวกใน HttpClient ถูกไฟถาวรในรุ่น
4.0 alpha1 [1] รุ่นปัจจุบัน 4.2.1 มีชื่อโฮสต์ของตัวเอง
เอ้อ Fi Veri และผู้แทนห่วงโซ่ของความไว้วางใจไอออนบวก Fi Veri เพื่อ JSSE แต่น่าเสียดายที่เราแสดงให้เห็นในมาตรา 8 การดำรงอยู่ของการดำเนินการที่ถูกต้องของ HttpClient มีผลกระทบต่อการรักษาความปลอดภัยของการใช้งานที่ต้องพึ่งพา HttpClient สำหรับสถานประกอบการเชื่อมต่อ SSL.
Apache HttpClient 4. * ที่เกี่ยวข้องกับสถาปัตยกรรมที่สำคัญการออกแบบใหม่
จึงมาก ของมรดกและแม้แต่ซอฟต์แวร์ใหม่ยังคงอาศัยอยู่กับรุ่น
ที่ 3 * ใช้ HttpClient ถูกซ่อนอยู่มักจะภายในมิดเดิลแวร์บริการเว็บเช่นแกนที่ 2 และ XFire ซึ่งหลายปีหลังจากรุ่น 4. * กลายเป็นใช้ได้ยังคงจัดส่งด้วย HttpClient 3. * จึง
ข้ามโฮสต์ไอออนบวก Fi Veri สำหรับ SSL ใบรับรองสายเคทส์.
เป็นมูลค่า สังเกตว่าชื่อโฮสต์ที่กำหนดเอง Veri รหัสไอออนบวก Fi
เพิ่มไปยัง HttpClient 4. * ไม่ถูกต้องและจะปฏิเสธ Cates Fi ใบรับรองที่ถูกต้อง.
รหัสต่อไปนี้มาจาก HttpClient 4.2.1: รหัสนี้คำนวณความยาวของสายก่อน x โดยการลบ 2 จากจำนวนของชิ้นส่วน (กำหนดโดย จำนวนจุดในชื่อ) ตรรกะนี้ไม่ถูกต้อง: ความถูกต้องของส่วนแรก Fi ของโดเมน. ชื่อควรจะมีอะไรจะทำอย่างไรกับจำนวนของชิ้นส่วนForexample ก็จะปฏิเสธล์. . .com ถ้าชื่อในCate Fi ใบรับรองเป็นม. *. . .com นอกจากนี้แพทช์เดิมเช่นเดียวกับการซื้อขายสัญญาซื้อขายล่วงหน้าที่มีข้อผิดพลาดเล็ก ๆ น้อย ๆ ในการแสดงออกปกติสำหรับการแยกอยู่ IPv4, ก่อให้เกิดการยอมรับที่อยู่ IP เริ่มต้นด้วยศูนย์ (นี้ไม่ได้มีผลในทันทีเสี่ยงด้านความปลอดภัย):
การแปล กรุณารอสักครู่..
7.5 Apache httpclient
ที่ใช้กันอย่างกว้างขวางมากที่สุดในรุ่นของ Apache httpclient เป็น 3.1 , เปิดตัวในปี 2007 ห้องสมุดนี้เช่นเดียวกับรุ่นก่อนหน้าของชุดการเชื่อมต่อ SSL ที่ใช้ jsse
ขึ้นเป็น sslsocketfactory โดยไม่แสดงของตัวเองชื่อโฮสต์ที่มีการถ่ายทอด ( ดูส่วนที่ 4.1 และ 4.2 ) .
ผลที่ตามมา , Apache httpclient 3 * ยอมรับใด ๆจึง certi เคท
ด้วยโซ่ที่ถูกต้องของความไว้วางใจ โดยไม่คำนึงถึงชื่อตามที่กล่าวถึงใน
ส่วน 4.2 , ข้อผิดพลาดเดียวกันเกิดขึ้นใน weberknecht .
ชื่อโฮสต์ที่มีข้อผิดพลาดในการถ่ายทอด httpclient ถูกถ่ายทอด xed ในรุ่น
4.0-alpha1 [ 1 ] รุ่นปัจจุบัน 4.2.1 ของตัวเอง , มีโฮสต์
ข้อมูลจึงเอ้อและตัวแทนสาวที่มีประจุบวกจึงจะ jsse . แต่น่าเสียดายที่เราแสดงในมาตรา 8การดำรงอยู่ของการดำเนินงานที่ถูกต้องของ httpclient ได้ผลเพียงเล็กน้อยเกี่ยวกับความปลอดภัยของการใช้งานที่ต้องพึ่งพา httpclient จัดตั้งการเชื่อมต่อ SSL Apache httpclient
4 * เกี่ยวข้องกับออกแบบสถาปัตยกรรมหลัก ,
จึงมากมรดกและแม้ซอฟต์แวร์ใหม่ยังคงอาศัยรุ่น
3 * . การใช้ httpclient มักจะซ่อนอยู่ภายในตลาดบริการเว็บเช่นแกนอยู่ 2 ,ซึ่งหลายปีหลังจากที่รุ่น 4 . * เป็นใช้ได้ยังเรือ httpclient 3 * และดังนั้นจึงข้ามโฮสต์ที่มีประจุ
สำหรับ SSL certi จึงเคทส์
เป็นมูลค่า noting ว่าชื่อโฮสต์ที่กำหนดเองที่มีการถ่ายทอดรหัส
เพิ่ม httpclient 4 * ไม่ถูกต้องและจะปฏิเสธที่ถูกต้องจึง certi
รหัสเคทส์ ต่อไปนี้เป็น httpclient 4.2.1 :
รหัสนี้จะคำนวณความยาวของ Pre ถ่ายทอดโดยการลบ 2
Xจากจำนวนของชิ้นส่วน ( กำหนดโดยจำนวนของจุดใน
ชื่อ ) ตรรกะนี้ไม่ถูกต้อง : ความเที่ยงตรง RST จึงเป็นส่วนหนึ่งของโดเมน
ชื่อจะไม่เกี่ยวข้องกับจำนวนของชิ้นส่วน
การจะปฏิเสธเมล์ < a > . < B > . com ถ้าชื่อใน certi
เคทจึงเป็น M * < > < b > .
นอกจากนี้แพทช์เดิม รวมทั้งอนุพันธ์ได้
ข้อผิดพลาดเล็กน้อยในนิพจน์ปกติสำหรับการ IPv4 ที่อยู่
ก่อให้เกิดการรับที่อยู่ IP ที่เริ่มต้นด้วยศูนย์ ( นี้ไม่ได้
ทันทีผลในช่องโหว่ความปลอดภัย ) :
ที่ใช้กันอย่างกว้างขวางมากที่สุดในรุ่นของ Apache httpclient เป็น 3.1 , เปิดตัวในปี 2007 ห้องสมุดนี้เช่นเดียวกับรุ่นก่อนหน้าของชุดการเชื่อมต่อ SSL ที่ใช้ jsse
ขึ้นเป็น sslsocketfactory โดยไม่แสดงของตัวเองชื่อโฮสต์ที่มีการถ่ายทอด ( ดูส่วนที่ 4.1 และ 4.2 ) .
ผลที่ตามมา , Apache httpclient 3 * ยอมรับใด ๆจึง certi เคท
ด้วยโซ่ที่ถูกต้องของความไว้วางใจ โดยไม่คำนึงถึงชื่อตามที่กล่าวถึงใน
ส่วน 4.2 , ข้อผิดพลาดเดียวกันเกิดขึ้นใน weberknecht .
ชื่อโฮสต์ที่มีข้อผิดพลาดในการถ่ายทอด httpclient ถูกถ่ายทอด xed ในรุ่น
4.0-alpha1 [ 1 ] รุ่นปัจจุบัน 4.2.1 ของตัวเอง , มีโฮสต์
ข้อมูลจึงเอ้อและตัวแทนสาวที่มีประจุบวกจึงจะ jsse . แต่น่าเสียดายที่เราแสดงในมาตรา 8การดำรงอยู่ของการดำเนินงานที่ถูกต้องของ httpclient ได้ผลเพียงเล็กน้อยเกี่ยวกับความปลอดภัยของการใช้งานที่ต้องพึ่งพา httpclient จัดตั้งการเชื่อมต่อ SSL Apache httpclient
4 * เกี่ยวข้องกับออกแบบสถาปัตยกรรมหลัก ,
จึงมากมรดกและแม้ซอฟต์แวร์ใหม่ยังคงอาศัยรุ่น
3 * . การใช้ httpclient มักจะซ่อนอยู่ภายในตลาดบริการเว็บเช่นแกนอยู่ 2 ,ซึ่งหลายปีหลังจากที่รุ่น 4 . * เป็นใช้ได้ยังเรือ httpclient 3 * และดังนั้นจึงข้ามโฮสต์ที่มีประจุ
สำหรับ SSL certi จึงเคทส์
เป็นมูลค่า noting ว่าชื่อโฮสต์ที่กำหนดเองที่มีการถ่ายทอดรหัส
เพิ่ม httpclient 4 * ไม่ถูกต้องและจะปฏิเสธที่ถูกต้องจึง certi
รหัสเคทส์ ต่อไปนี้เป็น httpclient 4.2.1 :
รหัสนี้จะคำนวณความยาวของ Pre ถ่ายทอดโดยการลบ 2
Xจากจำนวนของชิ้นส่วน ( กำหนดโดยจำนวนของจุดใน
ชื่อ ) ตรรกะนี้ไม่ถูกต้อง : ความเที่ยงตรง RST จึงเป็นส่วนหนึ่งของโดเมน
ชื่อจะไม่เกี่ยวข้องกับจำนวนของชิ้นส่วน
การจะปฏิเสธเมล์ < a > . < B > . com ถ้าชื่อใน certi
เคทจึงเป็น M * < > < b > .
นอกจากนี้แพทช์เดิม รวมทั้งอนุพันธ์ได้
ข้อผิดพลาดเล็กน้อยในนิพจน์ปกติสำหรับการ IPv4 ที่อยู่
ก่อให้เกิดการรับที่อยู่ IP ที่เริ่มต้นด้วยศูนย์ ( นี้ไม่ได้
ทันทีผลในช่องโหว่ความปลอดภัย ) :
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- ร้านสะดวกซื้อ
- In 2007, Peyachokangul et al. Reported t
- ภูมิ
- here on the search for suspicious Morkan
- พิริยานันท์ น้อยสมบัติ
- ทางออกหมู่บ้านของเพื่อนฉัน
- The first step is the bending shape fast
- Sometimes you need to step outside, get
- Historians have noted that Hitler may ha
- Impact of firework in Bonfire Night
- The specific water flow was in the range
- คลิปเกย์
- Get around
- Lotus Chief
- Condition your snakeskin with an exotic
- Why you think like that! It s nothing el
- ไหล่หมู
- such
- แหวน
- เตามีปัญหา
- ช่วยเหลือซึ่งกันและกัน
- ฉันชอบมาให้อาหารปลา
- Thailand customs
- เขาไปหาหมอทุกเดือน
